🚨 Kelp DAO sofreu um ataque de $292M, Aave afetada #5PC Nesta madrugada (19/4), por volta das 0:35 horário do Vietnã, o bridge rsETH da Kelp DAO (o segundo maior protocolo de liquid restaking após https://t.co/4ePd4lro3h, construído sobre LayerZero) foi explorado por hackers, resultando em perdas de 116.500 rsETH ($292M). O hacker retirou 1 ETH do Tornado Cash como taxa de gás e assumiu o controle do bridge (segundo análise inicial, devido à violação da chave privada). Por fim, ele usou essa chave para falsificar transações via LayerZero e transferiu todos os 116.500 rsETH para seu próprio endereço. A razão pela qual o ataque foi tão bem-sucedido é que esse bridge tinha apenas um único validador (DVN 1/1), sem verificação cruzada. Posteriormente, o hacker tentou retirar mais 40.000 rsETH (~$100M), mas falhou porque a Kelp conseguiu pausar todos os contratos a tempo. Como o rsETH tem baixa liquidez e não pode ser vendido diretamente, o hacker optou por usar o rsETH como garantia em protocolos de empréstimo e obter wETH em empréstimos. Até às 2:30 da manhã (horário do Vietnã), a dívida total criada pelo hacker ultrapassou $236M: - Aave V3: $196M - Compound V3: $39,4M - Euler: $840K Aave já congelou o mercado rsETH tanto no V3 quanto no V4, afirmando que seus contratos não foram hackeados e comprometendo-se a encontrar maneiras de cobrir eventuais inadimplências. Segundo estimativas da Spark (concorrente direto da Aave), se o rsETH cair 19% (pois os tokens roubados representam 19% da oferta total de rsETH), a Aave pode enfrentar mais de $100M em inadimplência devido a empréstimos alavancados em ciclo fechado. Ambas as moedas $KERNEL e $AAVE caíram mais de 10% após o ataque.